Política de Privacidade

Última atualização: 1 de maio de 2026 · Em conformidade com a Lei nº 13.709/2018 (LGPD)

Esta Política de Privacidade descreve como o Mestre Optométrico coleta, utiliza, armazena e protege os dados pessoais dos usuários e dos pacientes cadastrados no sistema.

1. Quem Somos

O Mestre Optométrico é um sistema de gestão para optometristas desenvolvido e operado por Breno Jeremias Fernandes, com sede em Joinville — SC. Para fins da LGPD, atuamos como operador de dados dos pacientes (os dados são controlados pela clínica/profissional que contratou o serviço) e como controlador dos dados cadastrais dos usuários do sistema.

Contato do Encarregado (DPO): privacidade@mestreoptometrico.com.br

2. Dados que Coletamos

2.1 Dados da Clínica/Usuário

Dado	Finalidade	Base Legal (LGPD)
Nome e e-mail	Identificação, login, comunicações	Execução de contrato (Art. 7º, V)
Nome da clínica	Identificação nos documentos gerados	Execução de contrato (Art. 7º, V)
Dados de pagamento	Cobrança mensal (processado pela Asaas)	Execução de contrato (Art. 7º, V)
Logo da clínica	Personalização dos PDFs gerados	Legítimo interesse (Art. 7º, IX)
Endereço IP e logs de acesso	Segurança, prevenção de fraudes	Legítimo interesse (Art. 7º, IX)

2.2 Dados dos Pacientes (inseridos pela clínica)

Os dados de pacientes (nome, CPF, data de nascimento, histórico clínico, receitas) são inseridos diretamente pela clínica contratante. Esses dados incluem dados sensíveis de saúde, sujeitos ao regime especial do Art. 11 da LGPD. O Mestre Optométrico armazena esses dados exclusivamente para permitir o funcionamento do sistema, com base na execução de contrato com a clínica (Art. 11, II, "a"). A clínica é a controladora desses dados e é responsável por obter o consentimento explícito dos pacientes conforme exigido pela LGPD.

3. Como Usamos os Dados

Prestação do serviço contratado (acesso ao sistema, geração de PDFs);
Cobrança da assinatura mensal;
Envio de e-mails transacionais (confirmação de conta, reset de senha, avisos de fatura);
Segurança da plataforma (prevenção de acesso não autorizado);
Melhoria do serviço (análise de uso agregada e anonimizada).

Nunca vendemos, alugamos ou compartilhamos dados pessoais com terceiros para fins de marketing.

4. Compartilhamento com Terceiros

Parceiro	Finalidade	Dados Compartilhados
Asaas	Processamento de pagamentos	Nome, e-mail, dados do cartão (tokenizado)
Brevo (ex-Sendinblue)	Envio de e-mails transacionais	Nome e e-mail do destinatário
MongoDB Atlas (AWS)	Armazenamento dos dados	Todos os dados do sistema
Railway	Hospedagem da aplicação	Dados em trânsito (criptografados)

Todos os parceiros são empresas com políticas de privacidade adequadas e, quando aplicável, com conformidade LGPD/GDPR.

5. Segurança

Senhas armazenadas com hash bcrypt (nunca em texto plano);
Comunicação criptografada via HTTPS/TLS;
Cookies com flags HttpOnly, Secure e SameSite;
Rate limiting nas rotas de autenticação;
Proteção CSRF em todos os formulários;
Sessão única por conta (impossível ter múltiplos acessos simultâneos com as mesmas credenciais).

6. Retenção de Dados

Conta ativa: dados mantidos pelo período da assinatura;
Após cancelamento: dados mantidos por 90 dias, período durante o qual você pode exportá-los. Após esse prazo, são excluídos permanentemente;
Exclusão voluntária: disponível a qualquer momento em Perfil → Conta → "Excluir conta" — remove permanentemente todos os dados da clínica e dos pacientes cadastrados de forma imediata;
Logs de acesso: retidos por 30 dias para fins de segurança.

7. Seus Direitos (LGPD Art. 18)

Você tem direito a:

Confirmação e acesso: saber se tratamos seus dados e obter cópia;
Correção: atualizar dados incompletos, inexatos ou desatualizados;
Portabilidade: exportar seus dados em formato JSON (disponível em Perfil → Conta);
Eliminação: excluir a conta e todos os dados permanentemente (disponível em Perfil → Conta, a qualquer momento);
Revogação do consentimento: cancelar o uso dos seus dados a qualquer momento.

Para exercer seus direitos, acesse a seção "Conta & Segurança" no seu Perfil ou entre em contato pelo e-mail privacidade@mestreoptometrico.com.br. Respondemos em até 15 dias úteis.

8. Cookies

Utilizamos apenas cookies estritamente necessários para o funcionamento do sistema (sessão de autenticação). Não utilizamos cookies de rastreamento, publicidade ou analytics de terceiros.

9. Transferência Internacional

Os dados são armazenados em servidores do MongoDB Atlas (AWS us-east-1) e Railway (EUA). Essas transferências são realizadas com salvaguardas adequadas de proteção de dados, incluindo cláusulas contratuais padrão.

10. Alterações nesta Política

Podemos atualizar esta política periodicamente. Alterações relevantes serão comunicadas por e-mail. A data da última atualização está sempre indicada no topo desta página.

11. Contato e DPO

Para questões sobre privacidade e proteção de dados:
E-mail: privacidade@mestreoptometrico.com.br
Responsável: Breno Jeremias Fernandes — Joinville, SC

Você também pode registrar reclamações na Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd